niesfisch 10 Geschrieben 16. Dezember 2005 Melden Geschrieben 16. Dezember 2005 Hallo, AD-Benutzer die in die vordefinierte Gruppe Konten-Operatoren gesteckt werden dürfen zwar sämtliche Attribute eines Nutzerobjekts verändern, aber keine Kennwörter zurücksetzen. Lapidare Aussage des W2k3 ADS "Zugriff verweigert". Dürfen Konten-Operatoren keine Kennwörter zurücksetzen, oder gibt's noch einen Schalter zum umlegen, damit das geht? Danke! Andreas Zitieren
Velius 10 Geschrieben 16. Dezember 2005 Melden Geschrieben 16. Dezember 2005 Laut MS müsste das klappen: Reset a user password Kann sein, dass das Recht für Konten-Operatoren entzogen wurde (über Delegation möglicherweise). Wie, von wem, und wann wurde denn das durchgeführt? Zitieren
niesfisch 10 Geschrieben 16. Dezember 2005 Autor Melden Geschrieben 16. Dezember 2005 Laut MS müsste das klappen: Reset a user password Kann sein, dass das Recht für Konten-Operatoren entzogen wurde (über Delegation möglicherweise). Wie, von wem, und wann wurde denn das durchgeführt? Was durchgeführt? Die Konten-Operatoren sind sonst nur noch Domänen-Benutzer. Weiß nicht ob es etwas zur Sache tut, aber das ADS-Snap-In, wird über RDP auf einen Memberserver ausgeführt (zum Kennwort ändern). Zitieren
Velius 10 Geschrieben 16. Dezember 2005 Melden Geschrieben 16. Dezember 2005 Wie, von wem, und wann wurde denn das durchgeführt? Das sollte bedeuten, dass ohne irgendwelches zutun die Account Operators das können. Schalt mal im AD Users and Computers unter "View" die "Advanced Features" ein. Dann kannst du unter den Properties der OU die Rechte der Gruppen und Konten ankucken. Ich vermute, dass denn Account Operators das Recht (Passwort reseten) entzogen wurde (Deny permission). Zitieren
niesfisch 10 Geschrieben 16. Dezember 2005 Autor Melden Geschrieben 16. Dezember 2005 btw. hab ein deutsches W2k3... drum jetzt alles in D Ich hab dich doch richtig verstanden, dass es um die Berechtigungen des Konten-Administratoren auf eine bestimmt OU geht. Wenn ich dort in den erweiterten Berechtigungen schaue, dürfen die Konten-Administratoren: Computer, Benutzer und Gruppen jeweils erstellen und löschen (nicht geerbt). In dieser OU befindet sich auch ein "bertoffenes" Nutzerobjekt. Wenn ich mir die Berechtigungen anschaue die noch vergeben werden könnten, finde ich nichts was auf Passworte hindeutet. Zitieren
Velius 10 Geschrieben 16. Dezember 2005 Melden Geschrieben 16. Dezember 2005 Ich hab mal ein bisschen recherchiert (schreibt man das so ...ach egal ;) ). Du musst unten auf dem Reiter auf "Erweitert" klicken. Du solltest jetzt überprüfen, ob für Konten-Operatoren ein oder zwei Einträge vorhanden sind, der beim Feld "Übernehmen für" ""Benutzer"-Objekte" stehen hat. Dort wiederum solltest du überprüfen ob die Attribute Reset Password, Read pwdLastSet und Write pwdLastSet auf "Verweigern" stehen. Zitieren
niesfisch 10 Geschrieben 16. Dezember 2005 Autor Melden Geschrieben 16. Dezember 2005 Erst mal danke für deine Engagement! In den erweiterten Sicherheitseinstellungen gibt es wie vorhin schon erwähnt drei Einträge für die Konten-Operatoren, nämlich Computer erstellen/löschen, Benutzer erstellen/löschen, Gruppen erstellen/löschen, übernommen werden die Berechtigungen aber "Nur dieses Objekt". Wenn ich auf "Benutzer-Objekte" umstelle tauchen endlich auch die Attribute "Kennwort ändern" und "Kennwort erneut festlegen" auf, hab mich nun noch nicht getraut es zu bestätigen. Jedenfalls würde das setzen des Attributs "Kennworts ändern" einen vierten Eintrag für die Konten-Operatoren erzeugen. Zitieren
Velius 10 Geschrieben 16. Dezember 2005 Melden Geschrieben 16. Dezember 2005 Also ich habe das auch nicht auf meiner Testumgebung, aber wenn ich das Recht auf einen x-beliebigen Account delegiere werden diese Attribute markiert. Zitieren
niesfisch 10 Geschrieben 16. Dezember 2005 Autor Melden Geschrieben 16. Dezember 2005 Ich hab grad noch einmal auf die Sicherheitseinstellungen eines Nutzerobjekts geschaut, dort haben zu meinem Erstaunen Konten-Operatoren nämlich "Vollzugriff" darunter finden sich auch die "erlaubt" Haken bei "Kennwort ändern" und "Kennwort erneut vergeben" Trotzdem "Zugriff verweigert" beim Versuch als Konten-Operator das Kennwort beim Nutzerobjekt auf das die Konten-Operatoren Vollzugriff haben - unklar! Zitieren
Velius 10 Geschrieben 16. Dezember 2005 Melden Geschrieben 16. Dezember 2005 Das kann IMHO nur passieren, wenn auf den Accounts selbst diese Rechte auf "Verweigern" gestellt sind. Account Operators ist ja eine Built-in Gruppe und da das Recht "Verweigern" immer Vorrang hat und man das auch auf dem eigentlichen Account (also das Mitglied in der Gruppe Account-Operators) anwenden kann, ist das schon eine mögliche Konstelation. :wink2: Zitieren
niesfisch 10 Geschrieben 16. Dezember 2005 Autor Melden Geschrieben 16. Dezember 2005 Ich hab mir gerade mal die "effektiven Berechtigungen" auf einem Nutzerobjekt für die Konten-Operatoren angeschaut. Bei allen Punkten ist der Haken drin... Vollzugriff, Kennwort ändern..... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.